.

Geltungszeitraum von: 29.03.2013

Geltungszeitraum bis: 23.05.2018

Rundschreiben Nr. 13/2013 des Landeskirchenamtes betreffend
Kirchlicher Datenschutz
Änderung des EKD-Datenschutzgesetzes

Vom 28. März 2013

Die Synode der EKD hat am 7. November 2012 das Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der EKD und zur Änderung des Kirchengerichtsgesetzes der EKD (ABl. EKD 2012 S. 452) beschlossen. Die Änderungen sind für die Evangelische Kirche von Westfalen zum 1. Januar 2013 in Kraft getreten.
Das geänderte EKD-Datenschutzgesetz (DSG-EKD) ist im Fachinformationssystem Kirchenrecht (FIS-Kirchenrecht – www.kirchenrecht-westfalen.de) unter der Nr. 8501# aufrufbar. Die Bestimmungen der Datenschutzdurchführungsverordnung (Nr. 852 im FIS-Kirchenrecht)2# werden zurzeit überarbeitet; sie gelten insoweit fort, als wie sie dem geänderten Gesetzestext nicht widersprechen.
Warum wurde das kirchliche Datenschutzrecht geändert?
In den letzten 10 Jahren hat sich sowohl auf der technischen Seite als auch im rechtlichen Verständnis für den Datenschutz einiges verändert. Das Bundesdatenschutzgesetz (BDSG) wurde mehrfach modernisiert. Staatlicherseits erhalten wir die Meldedaten der Kirchenmitglieder und ihrer Familienangehörigen nebst sämtlichen Änderungen nur, wenn auf kirchlicher Seite ein dem BDSG angemessener Datenschutz sichergestellt werden kann. Zusätzlich war das Urteil des Europäischen Gerichtshofes vom 9. März 2010 (EuGH, Rs. C-518/07; online aufrufbar über die Fachdatenbank Jurion www.recht.jurion.de) zur eigenständigen Stellung des Datenschutzbeauftragten inhaltlich zu berücksichtigen.
Um Ihnen den Umgang mit den neu gefassten Datenschutzbestimmungen zu erleichtern, erläutern wir nachfolgend insbesondere die Änderungen:
  1. § 1 Zweck und Anwendungsbereich3#
    In Absatz 2 Satz 1 wird der Anwendungsbereich für kirchliche Stellen (Legaldefinition) normiert. Wie bisher gilt das kirchliche Datenschutzrecht unmittelbar auch für die kirchlichen und diakonischen Werke und Einrichtungen ohne Rücksicht auf deren Rechtsform und rechtsfähige evangelische Stiftungen bürgerlichen Rechts.
    Absatz 5 nimmt die Regelung des BDSG (§ 1 Absatz 4) auf und bezieht es parallel zum staatlichen Verwaltungsverfahrensgesetz auf das kirchliche Verwaltungsverfahrens- und -zustellungsgesetz. Dies hat beispielsweise zur Folge, dass bei der Ermittlung personenbezogener Daten im Rahmen des Verwaltungsverfahrens der Handlungsspielraum der kirchlichen Behörde in gleicher Weise wie der der staatlichen erheblich eingeschränkt ist: Sie muss in aller Regel versuchen, benötigte Daten bei Betroffenen selbst zu erfragen, bevor sie dritte Informationsquellen nutzt. Vergleichbare Beschränkungen gelten auch bei der weiteren Bearbeitung des Vorgangs im Verwaltungsverfahren, etwa die Bindung der Datenverwendung an den ursprünglichen Erhebungs- bzw. Speicherungszweck oder für eine Datenübermittlung zwischen öffentlichen (kirchlichen) Stellen, auch im Rahmen der „Amtshilfe“. Ferner hat die Auskunftserteilung bzw. die Akteneinsicht zu unterbleiben, wenn sie zu einem unzulässigen Eingriff in das informationelle Selbstbestimmungsrecht des Dritten führen würde (vgl. zum Ganzen Simitis, BDSG; 7. Auflage 2011; zu § 1 Randnummer 191 f).
  2. § 2 Begriffsbestimmungen4#
    Neu aufgenommen wurde der Absatz 13, der den Begriff „Beschäftigte“ definiert. Die Reichweite des Begriffs macht deutlich, dass er alle in abhängiger Tätigkeit Beschäftigte umfassen soll. Nach Nr. 1 umfasst der Beschäftigtenbegriff im kirchlichen Bereich auch die in einem Pfarrdienst oder in einem kirchlichen Beamtenverhältnis stehenden Personen. Zu den Arbeitnehmerinnen und Arbeitsnehmern nach Nr. 2 gehören auch Praktikanten und leitende Angestellte. Keine Arbeitnehmer sind Geschäftsführer einer GmbH oder ausgeschiedene Personen (z. B. Rentner). Die unter Nr. 3 getroffene Definition „zu ihrer Berufsbildung Beschäftige“ geht dabei weit über die in § 1 Berufsbildungsgesetz Gemeinten hinaus und erfasst neben den Auszubildenden auch Volontäre, Berufsausbildungspraktikanten und Anlernlinge, soweit sie sich nicht bereits in einem Arbeitsverhältnis befinden. Unter Nr. 4 fallen alle Rehabilitandinnen und Rehabilitanden, unabhängig davon, auf welcher rechtlichen Grundlage die berufliche Rehabilitation erfolgt, wer Träger der Maßnahme ist oder ob eine Entlohnung gezahlt wird. Zu der Nr. 5 zählen die Personen, die in von § 136 Sozialgesetzbuch (SGB) IX erfassten Werkstätten für behinderte Menschen tätig sind. Zu der Nr. 6 gehören die Personen, die u. a. im Bundesfreiwilligendienst, im Freiwilligen Sozialen und Ökologischen Jahr eine Tätigkeit übernommen haben. Nr. 7 umfasst Scheinselbstständige und Beschäftigte nach dem Heimarbeitsgesetz. Die Nr. 8 ist weit zu fassen: Dazu gehören alle Bewerbungen von Personen, auch solche zu einem Freiwilligen Sozialen Jahr. Ebenso umfasst der Begriff alle aus einem Beschäftigungsverhältnis ausgeschiedenen Personen (z. B. Rentner oder Pensionäre).
    Der neue Absatz 14 enthält eine Begriffsbestimmung zur „IT-Sicherheit“.
  3. § 3 Erhebung, Verarbeitung und Nutzung5#
    § 3 hat keine Änderung erfahren. Die Vorschrift folgt dem Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Erlaubt ist nur, was durch das DSG-EKD oder eine andere Rechtsvorschrift abgedeckt ist. Der Begriff „eine andere Rechtsvorschrift“ umfasst alle Rechtsvorschriften (Gesetze, Verordnungen, Satzungen, Arbeitsrechtsregelungen). Nicht dazu gehören Anordnungen der Leitung einer kirchlichen Stelle, Empfehlungen, Handreichungen, Richtlinien oder Ausführungsbestimmungen.
  4. § 7 Unabdingbare Rechte der betroffenen Person6#
    Es wurde der Absatz 3 angefügt. Er dient zur Klarstellung und Stärkung der unabdingbaren Rechte der betroffenen Person, insbesondere durch das strikte Zweckbindungsgebot. Die oder der Betroffene soll nicht befürchten müssen, dass sich die Ausübung ihres oder seines Rechtes nachteilig auswirken könnte. Dies gilt auch bei Anrufung der Datenschutzbeauftragten.
  5. § 7a Videobeobachtung und Videoaufzeichnung (Videoüberwachung)7#
    § 7a ist aufgrund von praktischen Notwendigkeiten wesentlich verändert worden. Die ausführliche Regelung orientiert sich am Hamburgischen Datenschutzgesetzes (§ 30). Die Bestimmung versucht, einen angemessenen Ausgleich zwischen dem Recht der Betroffenen, sich unbeobachtet im kirchlichen (öffentlichen) Raum zu bewegen, und dem öffentlichen Interesse an einem geordneten, störungsfreien Dienstbetrieb zu schaffen. Weiterhin ausgenommen bleibt eine Videoüberwachung des Gottesdienstes.
    Absatz 1 regelt die Zulässigkeit der Videobeobachtung. Darunter versteht man die Übertragung der durch eine Kamera erfassten Bilddaten auf einen ortsfernen Monitor in Echtzeit ohne gleichzeitige Speicherung der Daten (sog. verlängertes Auge oder Kamera-Monitoring). Die Beobachtungserlaubnis ist nur in Ausübung des Hausrechtes unter dem Gesichtspunkt des Personen- und Sachschutzes und zur Überwachung von Zugangsberechtigungen zulässig. Dies alles steht unter der Voraussetzung, dass keine schutzwürdigen Interessen des Betroffenen höher zu bewerten sind.
    Absatz 2 regelt die rechtliche Zulässigkeit von Videoaufzeichnungen (sie beinhaltet eine anhaltende Speicherung von Bilddaten, die eine zeitversetzte oder wiederholte Beobachtung und weitere Auswertung ermöglicht). Die ist nur unter der Voraussetzung gestattet, dass mit einer Verletzung der Rechtsgüter nach Absatz 1 zukünftig gerechnet werden muss und keine höher einzustufenden Interessen der Betroffenen vorliegen. Die aufgezeichneten Bilder dürfen nur zur Verfolgung von Straftaten oder zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person oder bedeutender Sach- und Vermögenswerte genutzt werden.
    Nach Absatz 3 ist auf eine Videobeobachtung und -aufzeichnung (Videoüberwachung) erkennbar hinzuweisen, soweit sie nicht offensichtlich ist, und die verantwortliche Stelle anzuzeigen.
    Werden nach Absatz 4 Daten der Videoüberwachung im Rahmen der Auswertung einer bestimmten Person zugeordnet, so ist diese grundsätzlich über diesen Umstand zu informieren (Benachrichtigungspflicht).
    Absatz 5 enthält Regelungen zur Löschung der aufgezeichneten Bilddateien, in der Regel sind sie spätestens nach einer Woche zu löschen.
    In Absatz 6 werden die technischen und organisatorischen Maßnahmen beschrieben, die bei einer Videoüberwachung einzuhalten sind.
    Absatz 7 legt der kirchlichen Stelle eine umfängliche Dokumentationspflicht auf und bindet die örtlich Beauftragten bzw. die Betriebsbeauftragten für den Datenschutz nach § 22 DSG-EKD mit ein.
    Absatz 8 regelt eine Überprüfung der Videoüberwachung nach dem Grundsatz der Erforderlichkeit alle zwei Jahre.
    Absatz 9 bezieht sich auf Videokamera-Attrappen, die auch bestimmten datenschutz-rechtlichen Anforderungen unterliegen.
  6. § 8 Schadensersatz durch kirchliche Stellen8#
    In § 8 wurden die bisherigen Beträge von 125.000 Euro auf 130.000 Euro erhöht. Ferner wird auf die Verjährungsfristen des BGB verwiesen.
  7. § 9 Technische und organisatorische Maßnahmen, IT-Sicherheit9#
    § 9 ist um Absatz 2 ergänzt worden, der jede kirchliche Stelle verpflichtet, IT-Sicherheit zu gewährleisten. Das Nähere wird der Rat der EKD noch durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz regeln. Eine Arbeitsgruppe der EKD ist mit der Erstellung einer Entwurfsfassung beauftragt worden.
  8. § 10 Einrichtung automatisierter Abrufverfahren10#
    In Absatz 3 wurde zur Klarstellung ein Bezug zu den örtlich Beauftragten für den Datenschutz hergestellt.
    Bei der Neuformulierung in Absatz 5, der den Abruf allgemein zugänglicher Daten regelt, handelt es sich um eine redaktionelle Änderung.
  9. § 11 Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag 11#
    Die Änderungen stellen im Wesentlichen eine Übernahme der neu getroffenen Regelung in § 11 Absatz 2 des BDSG dar.
    Absatz 2 stellt für die beauftragende Stelle bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten klar, dass ein solcher Auftrag aus Gründen der Wahrung des hohen Datenschutzniveaus nicht außerhalb der Mitgliedsstaaten der Europäischen Union vergeben werden soll. Soweit besondere Fallkonstellationen ausnahmsweise eine Beauftragung außerhalb der EU für notwendig erachten, wäre über die EKD abzuklären, ob der Staat ein dem EKD-Datenschutzgesetz angemessenes gesetzliches oder vertraglich vereinbartes Datenschutzniveau nachgewiesen hat.
    Da das IT-Sicherheitskonzept der Dienstleister von der kirchlichen Stelle (z. B. durch die örtlich Beauftragte oder den örtlich Beauftragten oder die Betriebsbeauftragte oder den Betriebsbeauftragten für den Datenschutz) möglichst vor Ort zu überprüfen ist, wird empfohlen, darauf zu achten, dass ein solcher Auftrag in der Bundesrepublik Deutschland ausgeführt werden sollte, damit der zeitliche und finanzielle Aufwand überschaubar bleibt.
    Absatz 3 legt die einzelnen Voraussetzungen (10 Punkte) fest, die bei der Auftragsdatenverarbeitung einzuhalten und in der vertraglichen Regelung näher zu beschreiben sind. Der Auftraggeber (kirchliche Stelle) hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist jeweils schriftlich zu dokumentieren.
    Absatz 7 sieht die Möglichkeit vor, dass die Gliedkirche eine Fremdvergabe genehmigungspflichtig machen kann. Die Datenschutzdurchführungsverordnung der Ev. Kirche von Westfalen (DSVO) sieht dies vor. In der Praxis der jüngeren Vergangenheit hatte sich herausgestellt, dass viele Verträge mit Fremdfirmen nicht den gesetzlichen Vorgaben entsprachen und nachgebessert werden müssen. Eine Erleichterung kann auch die Verwendung von Mustervereinbarungen darstellen, die für einzelne Beauftragungen bereits seitens der Ev. Kirche von Westfalen entwickelt und im FIS-Kirchenrecht veröffentlicht worden sind. Es ist beabsichtigt, in der DSVO eine Genehmigungsfiktion aufzunehmen, die immer dann eintritt, wenn kirchliche Stellen die Muster ohne wesentliche Änderungen verwenden. Bei einer Beauftragung von anderen kirchlichen Stellen durch Dienstleistungsvertrag kann dieser etwas einfacher gestaltet werden. Details hierzu sollen bei der Überarbeitung der DSVO festgelegt werden.
  10. § 12 Datenübermittlung an kirchliche oder sonstige öffentliche Stellen12#
    Die Anfügung des neuen Absatzes 8 stellt klar, dass bei der Datenübermittlung an andere öffentlich-rechtliche Religionsgesellschaften oder an staatliche oder kommunale Behörden die Zweckbindung der Daten zu beachten ist und auf die Zweckbindung gesondert hingewiesen werden muss.
  11. § 14 Durchführung des Datenschutzes13#
    Die bisherigen Absätze 2 bis 4 wurden gestrichen, da die Erstellung und Pflege der Übersichten über die bestehenden Datenverarbeitungsprogramme einen großen Verwaltungsaufwand erfordert haben und der Nutzen der Verzeichnisse für die Praxis (z. B. Einsichtnahme der Verzeichnisse durch Dritte) gering war.
  12. § 17 Anrufung der Beauftragten für den Datenschutz 14#
    Absatz 2 ist angefügt worden. Er will verhindern, dass Beschäftigte ihre Rechte nicht wahrnehmen, weil sie befürchten müssen, deswegen benachteiligt zu werden. Somit dürfen die Beschäftigten Rechtsverstöße ihren Dienstvorgesetzten melden oder auch den direkten Weg zur oder zum Beauftragten für den Datenschutz wählen. Zur effektiven und schnellen Gewährung des Datenschutzes ist diese „Meldepflicht“ ein wichtiger Baustein. Eine vergleichbare Regelung findet sich in § 26 Absatz 2 des Hamburgischen Datenschutzgesetzes. Damit sind arbeitsrechtliche Maßnahmen grundsätzlich ausgeschlossen. Der Beschäftigte wird auch über das Maßregelungsverbot nach § 612a BGB geschützt. Danach darf der Arbeitgeber einen Arbeitnehmer bei einer Maßnahme nicht benachteiligen, wenn der Arbeitnehmer in zulässiger Weise seine Rechte ausgeübt hat.
  13. § 18 Rechtsstellung der Beauftragten für den Datenschutz15#
    § 18 ist unter Berücksichtigung des Urteils des EuGH vom 9. März 2010 (EuGH, Rs. C-518/07) insgesamt neu ausgestaltet worden und soll der eigenständigen Rechtsstellung der Beauftragten für den Datenschutz der Gliedkirchen gerecht werden.
    In Absatz 1 Satz 1 verbleibt es bei der bisherigen Regelung, dass sowohl die EKD als auch die Gliedkirchen für ihren Bereich jeweils Beauftragte für den Datenschutz bestellen können, soweit sie die Wahrnehmung nicht auf die EKD übertragen haben.
    Die Ev. Kirche von Westfalen hat gemeinsam mit der Lippischen Landeskirche und der Ev. Kirche im Rheinland als Gemeinsame Beauftragte für den Datenschutz Frau von Böhlen bestellt. Die Zuständigkeit erstreckt sich auf die o. a. Kirchen und die diakonischen Werke und Einrichtungen im Bereich der o. a. Kirchen. Die Amtszeit der Gemeinsamen Beauftragten für den Datenschutz endet im April 2014. Es ist angedacht, die EKD mit der Aufgabenwahrnehmung des Datenschutzes ab Mai 2014 zu beauftragen.16#
  14. § 18a Der oder die Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland17#
    Die Bestimmung sieht jetzt vor, dass das Aufgabenspektrum „Datenschutz“ des Evangelischen Werkes für Diakonie und Entwicklung gemeinschaftlich von der EKD wahrgenommen werden soll. Darin wird deutlich, dass verfasste Kirche und Diakonie sehr eng miteinander verbunden sind, es keine unterschiedliche Aufgabenwahrnehmung geben kann, vielmehr eine einheitliche Anwendung des Datenschutzrechtes sichergestellt sein muss.
  15. § 18b Beauftragte für den Datenschutz der Gliedkirchen der EKD18#
    § 18b wiederholt die bereits in § 18 angesprochene Weichenstellung, dass die Gliedkirchen den Aufgabenbereich für den Datenschutz der oder dem Beauftragten für den Datenschutz der EKD übertragen können.
  16. § 19 Aufgaben der Beauftragten für den Datenschutz19#
    Absatz 4 wurde dahin gehend erweitert, dass Beauftragte für den Datenschutz von den kirchenleitenden Organen beauftragt werden können, Stellungnahmen zu Gesetzesvorhaben, die sich auf den Schutz von personenbezogenen Daten auswirken, abzugeben.
    Absatz 5 sieht die regelmäßige Erstellung von Tätigkeitsberichten vor.
    In Absatz 9 ist jetzt die Zusammenarbeit der kirchlichen Beauftragten für den Datenschutz untereinander als verpflichtend geregelt worden, damit unter anderem eine einheitliche Anwendung und Durchführung des kirchlichen Datenschutzrechtes sichergestellt wird.
  17. § 21 Meldepflicht20#
    Die Änderungen in § 21 sind dem gestiegenen Datenschutzbewusstsein und dem technischen Fortschritt geschuldet.
    Nach den Absätzen 1 und 2 entfällt weiterhin die Meldepflicht von neu einzuführenden Datenverarbeitungsverfahren an die Beauftragten für den Datenschutz, wenn Betriebsbeauftragte oder örtlich Beauftragte für den Datenschutz bestellt worden sind oder nicht mehr als neun Beschäftigte mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind. Der Gesetzgeber geht davon aus, dass die Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz von der Dienststellenleitung bzw. von der IT regelmäßig über wesentliche Veränderungen beim Einsatz von Datenverarbeitungsverfahren informiert werden.
    Absatz 3 beinhaltet die Vorabkontrolle bei Datenverarbeitungsverfahren, die sensible personenbezogene Daten verarbeiten oder wenn sie geeignet sind, die Persönlichkeit der betroffenen Person einschließlich ihrer Fähigkeiten, ihrer Leistung oder ihres Verhaltens zu bewerten. Der Begriff „Verfahren“ ist weit zu fassen, z. B. gehört neben Hardware und Software auch die Videoüberwachung dazu. In der Praxis dürfte der Vorabkontrolle nur eine eingeschränkte Bedeutung zukommen, da sie ausgeschlossen wird, wenn eine gesetzliche Verpflichtung oder eine Einwilligung der betroffenen Person vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit der betroffenen Person erforderlich ist.
    Absatz 4 regelt die Zuständigkeit für die Vorabkontrolle, die den Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz obliegt. Dadurch wird die Rechtsposition der Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz gestärkt. In Zweifelsfällen können sie die für sie zuständige Beauftragte oder den für sie zuständigen Beauftragten für den Datenschutz (§ 18) beratend hinzuziehen.
  18. § 21a Inhalt der Meldepflicht21#
    Der neu formulierte § 21a ist inhaltlich weitestgehend identisch mit § 4e BDSG. Die Vorschrift enthält einen Katalog von Angaben für die Meldung der neu einzuführenden Datenverarbeitungsverfahren an die Beauftragten für den Datenschutz. Es ist in diesem Zusammenhang zu beachten, dass es nach Nr. 8 erforderlich ist, die getroffenen oder geplanten Maßnahmen zur Datensicherheit nach § 9 DSG-EKD zu beschreiben. Die Meldung obliegt nicht den Betriebsbeauftragten oder den örtlich Beauftragten für den Datenschutz, sondern der Leitung der kirchlichen Stelle.
  19. § 22 Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz 22#
    In Absatz 1 ist die bisherige „Soll-Vorschrift“ einer Bestellung für die Betriebsbeauftragten bzw. für die örtlich Beauftragten für den Datenschutz zu einer „Muss-Vorschrift“ geändert worden. Für die Ev. Kirche von Westfalen hat diese Veränderung keine Auswirkungen, da die Verpflichtung zur flächendeckenden Bestellung von örtlich Beauftragten oder Betriebsbeauftragten für den Datenschutz schon vorher bestand. Die bisher in Satz 2 vorgesehene Grenze, die eine Bestellung ab sechs Beschäftigten, die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind, vorsah, wurde auf neun Personen angehoben. Gute Erfahrungen mit entsprechenden Synergieeffekten bestehen mit der Bestellung von Beauftragten, die für mehrere kirchliche Stellen zuständig sind. Es können durch Werkverträge auch Außenstehende (Dritte) bestellt werden, die die Aufgaben der Betriebsbeauftragten oder der örtlich Beauftragten für den Datenschutz wahrzunehmen haben.
    In Absatz 3 ist die Befugnis der Betriebsbeauftragten oder der örtlich Beauftragten für den Datenschutz gestärkt worden, da das Recht, Auskünfte einzuholen und Einsicht in die Unterlagen zu nehmen, neu aufgenommen worden ist.
    In Absatz 4 wurde für die Betriebsbeauftragten oder die örtlich Beauftragten für den Datenschutz ein Kündigungsschutz aufgenommen. Die Kündigung eines Arbeitsverhältnisses ist nur zulässig, wenn Tatsachen vorliegen, die zur Kündigung aus wichtigem Grund berechtigen. Der Kündigungsschutz ist mit einer einjährigen Nachwirkung fixiert worden (analog der Regelung des § 4f Absatz 3 Satz 5 BDSG).
    In Absatz 5 wurde zur Qualifizierung der Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz geregelt, dass sie einen Rechtsanspruch auf Fort- und Weiterbildung haben und die Dienststelle die Kosten in angemessener Höhe zu übernehmen hat.
    Absatz 9 stellt heraus, dass die Leitung der kirchlichen Stelle für den Datenschutz die Verantwortung für ein ordnungsgemäßes Handeln trägt. Die Bestimmung enthält für die Leitung die Verpflichtung, auf die Einhaltung der Bestimmungen des Datenschutzes zu achten, die ordnungsgemäße Anwendung der DV-Programme zu überwachen und für die Aufklärung und Schulung der Mitarbeitenden Sorge zu tragen. Dies gilt insbesondere, wenn keine Rechtsverpflichtung zur Bestellung von Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz besteht oder für den Fall einer vorübergehenden Vakanz, wenn zum Beispiel eine (Neu-)Bestellung von Betriebsbeauftragten oder örtlich Beauftragten für den Datenschutz noch nicht erfolgt ist.
  20. § 24 Datenerhebung, -verarbeitung und -nutzung bei Dienst- und Arbeitsverhältnissen23#
    In Absatz 1 konnten die Worte „Bewerber und Bewerberinnen“ entfallen, da der Beschäftigtenbegriff nach der in § 2 Absatz 13 neu aufgenommenen Definition diesen Personenkreis mit umfasst.
  21. § 27 Ergänzende Bestimmungen, Rechtsweg24#
    Absatz 1 eröffnet für die EKD die Möglichkeit, ergänzende Durchführungsbestimmungen zum Datenschutzgesetz erlassen zu können, etwa um die Einheitlichkeit des kirchlichen Datenschutzrechtes sicherzustellen.
    Die gleiche Regelungskompetenz haben die Gliedkirchen in Absatz 2 für ihren Bereich, soweit die Regelungen der Landeskirchen dem Recht der EKD nicht widersprechen.
    Im neuen Absatz 4 ist der Rechtsweg zu den kirchlichen Verwaltungsgerichten für Streitigkeiten auf der Grundlage dieses Gesetzes normiert worden.
  22. Anlage (zu § 9)25#
    Im Satz 3 ist eine Ergänzung hinzugefügt worden, wonach Verschlüsselungsverfahren bei den Maßnahmen der Zugangs-, Zugriffs- und Weitergabekontrolle Verwendung finden sollten. Mit der Formulierung „Stand der Technik“ wird zum Ausdruck gebracht, dass die Verschlüsselungsverfahren einen hohen aktuellen Sicherheitsstandard aufweisen und sich in der Praxis bewährt haben sollten.
####
#
1 ↑ Nr. 850.
#
2 ↑ Nr. 852.
#
3 ↑ Nr. 850.
#
4 ↑ Nr. 850.
#
5 ↑ Nr. 850.
#
6 ↑ Nr. 850.
#
7 ↑ Nr. 850.
#
8 ↑ Nr. 850.
#
9 ↑ Nr. 850.
#
10 ↑ Nr. 850.
#
11 ↑ Nr. 850.
#
12 ↑ Nr. 850.
#
13 ↑ Nr. 850.
#
14 ↑ Nr. 850.
#
15 ↑ Nr. 850.
#
16 ↑ Die Kirchenleitung der EKvW hat am 13. März 2014 beschlossen, die Datenschutzaufsicht für die Evangelische Kirche von Westfalen (EKvW) einschließlich der der EKvW zugeordneten kirchlichen und diakonischen Werke und Einrichtungen ohne Rücksicht auf deren Rechtsform und rechtsfähigen evangelischen Stiftungen des bürgerlichen Rechts mit Wirkung vom 1. Mai 2014 auf die EKD zu übertragen. Hierzu wurde seitens der EKvW mit der EKD eine Vereinbarung zur einheitlichen Anwendung des Datenschutzrechts und zur Wahrnehmung der Datenschutzaufsicht in der EKD abgeschlossen worden. Ab 1. Mai 2014 nimmt Herr Michael Jacob als Beauftragter für den Datenschutz der EKD die Aufgaben der oder des Beauftragten für den Datenschutz der EKvW wahr. Die Kontaktdaten lauten:
Der Beauftragte für den Datenschutz der EKD,
Michael Jacob,
Böttcherstraße 7, 30419 Hannover,
Tel.: 0511 768128-0, Fax: 0511 768128-20, E-Mail: info@datenschutz.ekd.de, Internet: www.ekd.de/Datenschutz
Seit dem 01.03.2015 ist für die Datenschutzregion Mitte-West die Außenstelle in Dortmund für alle Fragen der kirchlichen Datenschutzaufsicht zuständig:
Der Beauftragte für den Datenschutz der EKD, Außenstelle Dortmund
Friedhof 4, 44135 Dortmund
Telefon 0231 533827-0; Fax 0231 533827-20; E-Mail: mitte-west@datenschutz.ekd.de
#
17 ↑ Nr. 850.
#
18 ↑ Nr. 850.
#
19 ↑ Nr. 850.
#
20 ↑ Nr. 850.
#
21 ↑ Nr. 850.
#
22 ↑ Nr. 850.
#
23 ↑ Nr. 850.
#
24 ↑ Nr. 850.
#
25 ↑ Nr. 850.